Medusa Ransomware realiza ataques a empresas de todo el mundo en este 2023

Medusa es un malware antiguo que se anuncia en los mercados de la Deep web desde 2015, agregó capacidades DDoS 2017 y en 2019 lanzó la versión ransomware de Medusa denominada “MedusaLocker”.

Si bien MedusaLocker ha estado activo desde 2019, el ransomware ha empezado a tomar fuerza en 2023, dirigiéndose a víctimas corporativas de todo el mundo con peticiones de rescate millonarias.

Una vez el atacante obtenido el acceso de red por parte del atacante, este puede llegar a cifrar los datos de la víctima y dejar una nota con indicaciones para el rescate de dichos datos, incluida la billetera criptográfica del atacante.

Dinámica de infección

Los atacantes suelen ganar acceso a las redes de las víctimas mediante la explotación de vulnerabilidades en el protocolo de escritorio remoto (RDP), campañas de Phishing y Spam, adjuntando directamente el ransomware como vectores de intrusión iniciales.

Ejecución

Este ransomware dirigido a equipos de Windows se inicia en modo seguro antes de la ejecución y cifrado de archivos, utiliza un archivo por lotes para ejecutar el script de PowerShell “invoke-ReflectivePEInjection” y se propaga a través de la red editando el valor de EnableLinkedConnections dentro del registro de la máquina infectada.

Procedimientos que realiza

  • Reinicia los servicios para permitir modificaciones en el registro del equipo.
  • Elimina los procesos de seguridad.
  • Reinicia la máquina en modo seguro para evitar la detección por parte del software de seguridad.
  • Cifra los archivos de las víctimas con el algoritmo de cifrado AES-256.
  • Establece la persistencia del ataque copiando un ejecutable (svhost.exe o schostt.exe) en el directorio %APPDATA%\Roaming.
  • Elimina las copias de seguridad locales, deshabilita las opciones de recuperación de inicio y elimina las “Shadow Copies”.

Patrones de solución

Detección/Política/ReglasModelo Rama/Versión
Ransom.Win32.MEDUSALOCKER. APatrón disponible en OPR 16.411.00
Ransom.Win64.MEDUSALOCKER.AAPatrón disponible en OPR 16.411.00
Trojan.BAT.MEDUSALOCKER.AAPatrón disponible en OPR 16.416.05
Ransom.Win32.MEDUSALOCKER.H.notaPatrón disponible desde OPR 16.410
Trojan.PS1.COBACIS.APatrón disponible desde OPR 16.410

Recomendaciones

  • Asegurarse de usar el último patrón disponible contra el ransomware medusa.
  • Asegurarse de implementar las mejores prácticas y funciones de protección contra ransomware.

Referencias